主持人：各位老师，下午好。欢迎大家来参加我们的“校园网管理与安全论坛技术沙龙”。现在已经是第二期了，2007年年底做了802.13的第一期。非常感谢北大网络中心的老师和同事给我们提供了这么好的环境。《中国教育网络》为本次沙龙独家报道媒体。

　　以下为清华大学郑先伟关于《清华校园网病毒防范和近期案例分析》主题报告实录(以下实录参照pdf文档阅读效果更好)。

　　郑先伟：各位老师好，本来会议安排里面写的是清华校园网病毒防范和近期案例分析，但我现在倒过来讲了，病毒的发展可能会对后期的选型有更大的帮助。我们现在讲一下近期的病毒案例分析，主要以现在的磁碟机变种病毒为例，它有这样的几个特点：

　　1、导致近期校园网ARP欺骗肆虐的元凶
　　2、多种传播手段
　　3、更完善的自我保护功能
　　4、高可重复感染性

　　首先我们看一下在2月27日在清华大学校内某系内部网络发作，有这样的现象，网络时断时续，访问外网速度慢；打开任何网页都可能弹出各类假冒的QQ广告信息；局域网内发现有大量ARP欺骗的存在。检查后发现，一个局域网内有8台主机在同时进行ARP欺骗，而且每隔5秒钟就会变化，在我们一下午的统计时间里进行，就是说它在局域网内传播的范围很广。我们当时到某台主机上采集样本进行分析发现，杀毒软件仅能查杀样本中的部分病毒，还有大部分病毒杀毒软件无法正常查杀。这个样本到3月7、8日之后才能查杀这个病毒，但在2月27日就开始了。这个病毒采用了很多新的技术，基本上包含了目前木马病毒发展的主要特征：

　　1、传播途径多
　　通过网页进行传播，就是说在你浏览这些带有木马网页的过程中进行传播，除了IE浏览器本身的漏洞之外，还包括系统自带的其他一些可以在IE浏览器中调动的程序中传播。我们发现越来越多的插件漏洞被利用，如Flash等，它同样是有漏洞的。为什么木马会利用这种漏洞？因为大部分的用户都知道系统需要打补丁，而自动更新的可以把漏洞信息通过自动分发的格局补充上，但对于第三方的软件，系统是不提供支持的，而是需要你自己手动去做。大部分用户被感染的过程，很多都是因为网页浏览而感染的。
　　另外就是通过移动存储介质传播，它一旦感染系统之后，会检测系统是不是进行了对这种自动播放功能的关闭，一旦发现的话，它会自动修改注册表，那么就会进行更有效的传播。
　　还有就是通过感染系统的EXE文件进行传播，它会感染上系统目录外的所有EXE文件，并对执行文件进行加密，以避免被杀毒软件查杀。现在有很多软件说有脱壳的功能，但是它会严重影响查杀速度。而且它会感染压缩文件，它会自动解压并感染里面的可执行文件后再重新压缩成压缩包。
　　通过ARP欺骗网页劫持传播，病毒劫持局域网内所有的网页访问，并在网页中插入带有木马连接的网页。通过木马下载器下载，病毒感染系统后会通过木马下载器下载很多其他的木马到系统上运行，而同样其他木马感染系统后也会自动下载该木马病毒到系统上运行。

　　2、生存能力强
　　(1)注册全局HOOK，扫描包含有常用安全软件关键字的程序窗口，发送大量消息，致使安全软件崩溃。通过检测系统进程中的敏感程序名来自动关闭相关的安全软件。
　　(2)通过系统延迟重启的方式在C盘生成高优先级的底层驱动程序并在系统起启动时加载，这个驱动会检测系统上的病毒程序是否工作正常，同时卸载其他安全软件在系统中的驱动。完成上述工作后该驱动程序会被病毒删除。
　　(3)监视并修改注册表，关闭察看系统隐藏文件功能，使得用户无法看到病毒文件。
　　(4)监视并修改注册表，落后系统安全模式功能，使得进入安全模式后系统会出现蓝屏错误。
　　(5)监视并修改注册表令系统中所有的安全组策略无法正常启用。
　　(6)删除注册表中的所有自动启动项，以防止安全软件随系统自动启动。
　　(7)监视并删除注册表里面的Image File Execution Dption项和子键，以防止用户通过镜像劫持来阻止病毒运行。
　　(8)延时启动功能，病毒感染系推后并不会马上运行，而是会休眠一段时间后再开始运行。
　　(9)两个病毒进程互相监视，一旦其中一个被终止，另一个会马上启动它，如果发现程序启动受阻，系统会被自动重启。

　　3、重复感染率高，变种更新迅速
　　(1)在各磁盘分区中创建autorun.inf和pagefile.pif，使得用户只要双击系统中的盘符就会被感染。
　　(2)感染执行文件并对文件程序进行加壳，如果想要强行对文件进行杀毒会导致程序无法正常使用。也就是说，以前拿杀毒软件杀完一遍毒之后，大部分的正常程序都无法运行。
　　(3)ARP欺骗网页劫持
　　如果系统上的漏洞还在的话，你马上就被感染了。实际上有点像我们早期的那些病毒到现在还存在一样，过了4年了，为什么还在活着？因为网络上始终有主动关机的事情，造成重复的感染。其实出现的现象是复合的，有37个木马病毒在我的机子上，到昨天还有12、13个。
　　(4)其他木马自动下载

　　4、变种更新迅速
　　病毒会通过网络进行自我升级(2—3天一个变种)，并且更新服务器的地址也定期改变。目前已知病毒用来升级的主服务器居然是使用千兆光纤直接接入到网络上的，这样就给它提供了更大的带宽，保证它的及时升级。

　　5、功能齐全
　　已经采用模块化设计，各功能相互独立。多种木马病毒的复合体，表现性多样，彻底查杀比较困难。需要新的功能可以实时通过网络下载。

　　下面我想讲一下新病毒带来的挑战，有以下几个方面：
　　1、传统防御办法的失效
　　现在的防火墙根本就挡不住。
　　2、杀毒软件始终处于被动状态
　　3、表现形式不固定
　　4、网络层可控的因素变小
　　5、用户端风险和操作难度增大

　　我们来看一下清华大学校园网病毒防范所做的工作：
　　1、局域网部署检测设备
　　2、统一部署防病毒软件
　　3、用户的安全培训
　　03年开始陆续在学生宿舍区开始部署入侵检测设备，目前大部分的学生宿舍的子网内都有流量监听分析设备。在对早期病毒的控制上效果还不错(如nachi病毒等)对ARP欺骗病毒的舰艇效果不是很明显，对现在各类木马病毒控制的效果也不是很明显。我们统一购买的杀毒软件，2004年开始选型，也考虑到能够集中控制，统一部署，能够支持校内升级等因素，但是学生不太买帐，他们都喜欢用卡巴斯基，当然现在多元化是一个新的选择。
　　其实对用户安全意识的培训是很重要的，包括及时的安全通告；针对普通用户的定期安全意识培训；针对特定用户的专题安全培训。所以说，个人用户的安全意识及操作规范在未来的防病毒工作中所占的分量越来越重。

　　最后讲一下，可能未来校园网防毒工作发展的一些想法：
　　1、多元化的控制
　　2、防范比控制更为有效
　　3、终端用户的参与度越来越高
　　这是我的一些想法，谢谢大家！

　　主持人：大家现在有什么问题要提问吗？
　　问：刚才说的几层驱动是什么？
　　答：就是保证系统的正常使用，所以在安全模式上也是可以的。
　　问：多种防病毒软件同时用，我觉得也是一个方法，特别是现在学生的使用情况，让他自己来选择。所以我也跟领导建议这个事。另外，各个学校的管理情况不一样，我们现在在人力方面都有一定的限制，校园网用户的培训很重要，就是说再强的防病毒软件，如果说要我来做，我也觉得不可能十全十美。就像对待恐怖分子的时候不能伤害平民，防病毒软件也是这样。